KRİPTO YÖNETMELİĞİ ELEŞTİRİSİ

Kamu Kurum Ve Kuruluşları İle Gerçek Ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu Veya Kriptolu Haberleşme Yapma Usul Ve Esasları Hakkında Yönetmeliğin Değerlendirilmesi

05.11.2008 tarihli 5809 sayılı Elektronik Haberleşme Kanunu’nun (kısaca EHK) 39. Maddesi ile Türkiye’de kamu ve özel gerçek ve tüzel kişilerin kodlu ve kriptolu elektronik haberleşme gerçekleştirmesinin düzenlenmesine ilişkin yasal çerçeve ortaya koyulmuştur. Madde ile kodlu ve kriptolu elektronik haberleşmenin genel hukuki çerçevesi çizilmiş ve kodlu ve kriptolu elektronik haberleşmenin usul ve esaslarının Bilgi Teknolojileri ve İletişim Kurumu (kısaca BTK) tarafından çıkarılacak yönetmelik ile belirleneceği belirtilmiştir.

Maddede belirtilen yönetmelik 23 Ekim 2010 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren “Kamu Kurum Ve Kuruluşları İle Gerçek Ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu Veya Kriptolu Haberleşme Yapma Usul Ve Esasları Hakkında Yönetmelik’tir (kısaca KY). EHK ve KY öncesinde ülkemizde kriptolu elektronik haberleşme ile ilgili düzenlemeler sadece kriptolu telsiz sistemlerinin düzenlenmesi ile ilgili olup, diğer elektronik haberleşme sistemleri üzerinden yapılabilecek kriptolu haberleşme ile ilgili düzenleme yapılmamıştır.

EHK’nın 39. Maddesi ile ortaya koyulan hüküm çerçevesinde sadece elektronik haberleşme işletmecileri değil tüm kamu ve özel gerçek ve tüzel kişiler (madde ile belirlenen kamu kurumları istisna olmak üzere) regülasyon kapsamına alınmıştır. Kanun metninde regülasyon kapsamına alınan kişilerin hak ve yükümlülükleri belirlenmeyip, BTK tarafından çıkarılacak ikincil düzenleme ile ortaya konulacak usul ve esaslar altında bu yükümlülükler belirleneceği için EHK’daki madde açık bir regülasyon çerçevesi belirlememiş ve bu sebeple kamuoyunun dikkatini gerektiği ölçüde çekememiştir.

KY’nin yürürlüğe girmesi ile birlikte kodlu ve kriptolu elektronik haberleşme ile ilgili usul ve esasların belirlenmiş olmasına rağmen hem yeni regülasyon çerçevesi ile getirilen sistemin uygulanmasının pratik açıdan mümkün olmaması hem de regülasyonun belirsiz bıraktığı pek çok ilgili husus sebebiyle, yeni regülasyon çerçevesi hem sektörde hem de kamu oyunda çok ciddi tepki ve endişe ile karşılanmıştır. KY’nin yürürlüğe girmesi ile ortaya çıkan yeni düzenleme çerçevesi temel olarak elektronik haberleşme sistemleri üzerinde gerçekleştirilen her türlü kodlu veya kriptolu haberleşmede şifreleme fonksiyonunu yerine getiren her türlü uygulama, araç ve sistemin denetime ve izne tabi tutulması gerektiğini düzenlemektedir.

KY ile getirilen çerçeve ile “kodlu haberleşme” tanımı her türlü şifreli haberleşmeyi kapsayacak şekilde yapıldığı için her türlü kodlu haberleşme sistemleri de (uygulama, yazılım, donanım)  denetim ve izin kapsamı içerisine girmektedir. Yeni regülasyon çerçevesi içerisinde ayrıca bu şifreleme fonksiyonlarında kullanılan şifreleme anahtarlarının ve araçlarının da izin ve denetim prosedürleri dahilinde BTK’ya teslim edilmesi gerekmektedir. Bu süreç mevcut uygulamalar düşünüldüğünde, uygulamaların teknik yapısı, şifrelemede kullanılan anahtarların anlık ve işlem bazlı olarak ve kullanıcılar tarafından yaratılabiliyor oluşu sebebiyle kesinlikle uygulanabilir değildir.

KY ile getirilen ve uygulanması mümkün olmayan başka bir prosedür ise yurtdışından getirilen kodlu veya kriptolu cihaz ve sistemlerinin kod veya kripto anahtarlarının BTK’ya teslim edilme zorunluluğudur. Söz konusu kodlu ve kriptolu uygulamalar çoğunlukla başka araçlarla üretilen bir donanım veya yazılıma entegre bir şekilde çalışan uygulamalar şeklinde piyasaya sürülmektedir.

Böyle bir durumda bir telefon cihazı, bilgisayar veya işletim sistemi alan bir kişinin, bu donanım veya yazılımı ülkeye soktuğunda bu uygulamalar içinde kullanılan kod veya kripto anahtarlarını teslim etmesi gerekmektedir; oysa ki mevcut durumda çoğunlukla kişiler bu uygulamalar içerisinde kullanılan kod ve kripto anahtarlarının ne olduğunu kendileri dahi bilmemektedirler.

Yukarıda belirtilen yükümlülüklere uyulmaması durumunda ise EHK ve KY ile getirilen düzenlemeler doğrultusunda yükümlülüklere uymayan kişilerin cezai yaptırımlara tabi tutulacağı belirlenmiştir. EHK’nın 63. maddesinin 6. Bendine göre 39. Madde ile belirlenen düzenlemelere aykırı olarak kodlu ve kriptolu haberleşme yapan ve yaptıranlar beş yüz günden bin güne kadar adli para cezası ile cezalandırılacaktır.

Görüldüğü üzere madde içerisinde açık bir şekilde “haberleşme gerçekleştiren kişilerin de” cezalandırılacağı belirlenmektedir. Her ne kadar yukarıda belirttiğimiz gibi KY içerisinde haberleşme gerçekleştirecek kişilerin yükümlülükleri ile ilgili hususlar düzenlenmemiş olsa da bu hüküm doğrultusunda pratikte gerekli izin ve denetim prosedürlerine uyulmamış araçları kullanan kişilerin söz konusu cezai yaptırıma tabi tutulması ihtimali bulunmaktadır.

Yine yukarıda belirttiğimiz gibi, kullandığı araç veya uygulamanın teknik özelliklerinden haberi olmayan, kripto anahtarlarını bilme imkanı bulunmayan ve hangi araçların izin ve denetim prosedüründen geçtiğinden haberi olamayacak kişilerin de cezai yaptırıma tabi tutulmak istenmesi kanaatimizce çok ciddi bir sorundur.

Ayrıca hukuk tekniği açısından kanun ile belirlenmeyen yükümlülüklerin ikincil düzenleme ile belirlenerek buna uymayan kişilerin cezai yaptırıma tabi tutulmak istenmesi, suçun kanuniliği ilkesi ile kesinlikle uyuşmamaktadır. Bu sebeple burada özellikle cezai yaptırım düzenlenmek isteniyorsa haberleşme yapacak kişilere ve kriptolu araç ve uygulamaları gerçekleştirecek kişilere ilişkin yükümlülüklerin esas çerçevesinin kanun ile belirlenmesi gerekmektedir.

Yeni düzenleme çerçevesi yukarıda bahsedilen ve pratikte uygulanması mümkün olmayan çerçeveyi ortaya koymakla birlikte EHK 39. Maddesi doğrultusunda belirlenmesi gereken usul ve esaslar kapsamında düzenlenmesi gereken pek çok husus ile ilgili hükümlere yer vermeyerek kodlu ve kriptolu haberleşme ile ilgili belirsiz bir düzenleme çerçevesinin ortaya çıkmasına da sebebiyet vermiştir.

Usul ve esaslar içerisinde özellikle yer alması gereken kodlu ve kriptolu haberleşme gerçekleştiren kişilerin hak ve yükümlülükleri, denetim ve izin prosedüründen geçirilen sistemlerle ilgili bilgilerin kamuoyuna duyurulması, denetim ve izin prosedürünün ne şekilde işletileceği ile ilgili sürecin belirlenmesi denetim ve izin prosedürü dâhilinde elde edilen bilgilerle ilgili BTK’nın sorumlulukları ve prosedürlerde uygulanması gereken güvenlik koşulları KY ile düzenlenmemiştir.

Sonuç olarak KY’nin yürürlüğe girmesi ile birlikte ülkemizde şifreli iletişim fonksiyonlarına sahip her türlü uygulama ve aracın kullanılması ile ilgili oldukça riskli ve belirsiz bir çerçeve ortaya çıkmıştır.

Sorunun ortadan kaldırılabilmesi için ilgili ikincil düzenleme acilen sektör temsilcileri ve konuyla ilgili akademisyen ve uzmanlardan oluşturulacak bir kurul tarafından yeniden oluşturulmalı, yapılacak düzenlemenin milli güvenlik ve haberleşme güvenliği ilkeleri göz önünde bulundurularak temel hak ve hürriyetleri koruyan, uygulanabilir ve şeffaf bir yapıya sahip olması sağlanmalıdır.

Ayrıca konuyla ilgili cezai düzenleme yapılması gerekiyorsa EHK’nın ilgili maddelerinde değişiklik yapılması için çalışmaların başlatılması gerekmektedir.